Logo: FireArchiv

logo 'FireArchiv' by Peperoni :: rmarchiv.tk is brought to you with love.

  • Die RPG_RT.exe von der Vollversion enthält einen Virus.

    Virustotal-Report: klick mich

    Die offizielle Datei enthält keinen Virus, daher ist der Infektionsweg nicht nachvollziehbar, ich schlag vor, das nochmal hochzuladen.


    Ghabry edited at vor 3 Wochen
  • Ist die RPG RT.exe zufällig ca. 200Kb größer als normalerweise? Und das Datum der Exe identisch mit dem Uploaddatum? Seit Anfang August habe ich das seltsame Phänomen, dass das Änderungsdatum von RPG RT.exe Dateien auf das aktuelle Datum springen, sobald ich den Spielordner schaue und diese dabei wie gesagt ein bisschen größer werden. Da das Verhalten ansonsten normal war und komischerweise die meisten Spiele, die man hier lädt, auf ein spezifisches Datum (glaube 26. April 2017) geändert sind, was ich mir genausowenig erklären kann, habe ich mir dabei jetzt nichts weiter gedacht.

    Wenn das mit diesem Virus zusammenhängen sollte, was genau ist das für einer und was tut der? Und lässt er sich wieder loswerden? Der Virusreport sagt mir nicht so viel, zumal jedes der gelisteten Programme dort etwas anderes anzeigt.

    Leider kann ich mich derzeit eher schlecht um Sachen kümmern, da ich gerade für einige Tage keinen Internetzugang zum Hauptrechner habe. Kennst du ein gutes Analyse (und Bereinigungsprogramm?) für das beschriebene Problem, das komplett offline funktioniert, nicht allzu groß und free ist ? Eventuell könnte ich das in der Zwischenzeit auf den betroffenen Rechner übertragen und dort mal drüberlaufen lassen.


    Peperoni edited at vor 3 Wochen
  • Genau, 200 kbyte größer und lokal finde ich auch einen Virus. Laut der Microsoft-Seite ist das ein Keylogger und klaut Passwörter, würde umgehend vorschlagen, alle wichtigen Website- und Mailpasswörter zu ändern!

    Okay, ich werde also so schnell wie möglich mein lokales Archivbackup auf Viren prüfen, damit ich alle Dateien ermitteln kann, die infiziert sind, müssen umgehend ausgetauscht werden.

    Also sinnvoll wäre das booten von einer Antiviren-CD, z.B: Antivir rescue system und damit offline zu scannen.

    Im Prinzip installiert man Windows nach einer Infektion neu, da man nicht 100% sicherstellen kann, dass das System sauber ist.


    Ghabry
  • Oje, klingt nicht gut. Danke für den Hinweis.


    Peperoni
  • Also nur schon mal zur Info, der Scan läuft noch, aber es sind mindestens 10 Spiele infiziert, müssen dann am Ende schauen, wo wir die nicht modifizierten RPG_RT.exe noch auftreiben können.


    Ghabry
  • Wenn es nur die Exe Dateien betrifft sollte das einfach sein. Weil Cleane 2k oder 2k3 Exes finden sich zuhauf in anderen Spielen. Die Frage wäre nur, ob sich sämtliche Slots mit Re-Uploads im Archiv überschreiben lassen. Da gab es nämlich auch schon das eine oder andere Problem, als ich z.B. am Spiel selbst nicht veränderte, das aber so servicetechnisch durch eine Version mit beigelegten harmony.dlls wegen MP3 Support ersetzen wollte. Konkretes Beispiel wäre jetzt Satansbrut 3. Da blieb die alte Datei im Slot, obwohl ich davon der ursprüngliche Uploader war.


    Peperoni edited at vor 3 Wochen
  • Hier schon mal die Liste, muss man dann mal schauen, welche davon Original RPG_RT verwenden bzw. welche man noch woanders online findet.

    Das Code-Farbschema ist verbuggt, muss man markieren zum lesen @ryg

    rmbackup/RPG Maker XP/The Mirror Lied (Freebird Games)/2011-9-10 - Vollversion 2.0 [EN].zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker XP/The Mirror Lied (Freebird Games)/2008-11-1 - Vollversion VV [DE].zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/F_r die Ewigkeit (NaitLesnah)/2018-9-7 - Demo 0.32 (Addon integriert).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/End of Colours  (Prince Beta )/2018-8-29 - Demo 1.21 (Addon integriert).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Darks Quest (darkfiete)/2007-5-11 - Demo x.zip: Win.Virus.Sality:1-6335700-1 FOUND        
    rmbackup/RPG Maker 2000/Das illich RPG (darkfiete)/2006-9-26 - Vollversion VV.zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/I Hate RPG Maker Games (darkfiete)/2013-4-28 - Demo x.zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Kartoffelkanonen Simulator (IsNoGood)/2014-10-19 - Vollversion VV.zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/The Legendary Hauke Chronicles (darkfiete)/2011-6-19 - Vollversion VV.zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Funny Family - Folge 1 (Spiritusgames2)/2018-9-5 - Vollversion 1.01 (Pepe Fix).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Hirntot mit Butterbrot 5 - Pfefferminztee mit Folgen (TheDragonMB)/2012-7-7 - Vollversion x.zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Descendants of Gaea (Ryu Starfire)/2018-8-18 - Demo 1 (Addon integriert).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Season Quest (SPR Production)/2018-8-16 - Demo x (Pepe Fix).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Devil Blues (Kenji)/2018-9-29 - Vollversion VV (Pepe Fix).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Hasen Adventure (DarkRage)/2018-8-10 - Vollversion 1.01 (Addon integriert).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2000/Pok_mon Invasion (Triforce)/2018-8-10 - Vollversion 1.01 (Addon integriert).zip: Win.Virus.Sality:1-6335700-1 FOUND
    rmbackup/RPG Maker 2003 Steam Edition/Sophie kommt zu Besuch (Leana)/2018-8-18 - Vollversion 1.0.zip: Win.Virus.Sality:1-6335700-1 FOUND
    
    ----------- SCAN SUMMARY -----------                      
    Known viruses: 6688222       
    Engine version: 0.99.4       
    Scanned directories: 1911    
    Scanned files: 2295          
    Infected files: 17           
    Data scanned: 21644.11 MB    
    Data read: 83808.88 MB (ratio 0.26:1)                     
    Time: 11659.644 sec (194 m 19 s) 
    

    Ghabry edited at vor 3 Wochen
  • Danke nochmal, Ghabry.

    Ich hatte in den letzten Stunden Programme zum Aufspüren und Entfernen des Virus auf dem betroffenen Rechner durchlaufen lassen und die haben das Problem beseitigt. Erstmal sind u.a. jede Menge der infizierten RPG RT exe Dateien entfernt worden und die clean gebliebenen Exes wurden seitdem nicht mehr mit Schadcode überschrieben. Auch wurde dadurch ein weiteres Problem, das ich im Testspielmodus im Maker hatte (Fenster rücke in den Hintergrund), behoben.

    Jetzt ist nur die Frage, wie man das mit den infizierten Spielen auf rmarchiv am besten deichselt. Wie schon gesagt kann ich mich momentan vom Laptop aus schlecht darum kümmern und auf dem Hauptrechner habe vorraussichtlich erst wieder in einer halben Woche Internetzugang.

    Hinweis: Nicht wundern über den editierten Startpost/Überschrift. Ich finde nur, es wäre besser, keinen konkreten Spieletitel mit dem Viren Problem, das vom Archiv, oder spezieller gesagt von mir ausging, schon in der Überschrift in Zusammenhang zu bringen.

    Sorry dafür. Und sorry für das Virenproblem. Ich bin in Zukunft vorsichtiger und reagiere sofort, wenn mir was Ungewöhliches auffallen sollte.


    Peperoni edited at vor 3 Wochen
  • Die 17 betroffenen Dateien habe ich jetzt mit dem Vermerk "Download wegen Virenfund vorerst deaktiviert." für die Zwischenzeit entfernt.


    Peperoni
  • Ich würd morgen mal durchgucken, weiß aber gerade nicht, ob ich Uploads von dir überhaupt überschreiben kann. Der Schaden hält sich zum Glück in Grenzen, da nur die exen betroffen sind, wir hatte schon schlimmere Probleme hier :)

    Im Anschluss lösch ich dann noch meine Backups von denen, damit ich nächste Nacht saubere Dateien bekomme.

    Fragt sich noch, wie man sowas in zukünftig rechtzeitig erkennt, könnte schließlich auch jemand absichtlich infizierte Dateien hochladen. Entweder direkt beim Upload scannen oder spätestens beim Backup in der Nacht alle neuen Dateien.

    Edit: Du kannst Downloads entfernen, sehr gut, aber anscheinend geht [Edit] nicht mehr, wenn der Download gelöscht wurde :/, kann sie daher dann nich ersetzen. Oder ich lad sie woanders hoch wenn ich soweit bin und du machst den Upload.


    Ghabry edited at vor 3 Wochen
  • Soweit ich mich entsinne kann niemand Slots, die jemand anderes erstellt hat, überschreiben. Ryg hat da glaube so einen Schutz eingebaut. Hab das selbst einmal bei einem Upload von ihm probiert, bei dem was am Spiel defekt war, und das funzte nicht. Sonst hätte ich dir die DLs nochmal geöffnet. Aber so muss ich das selbst vornehmen, sobald möglich. Danke trotzdem für die Unterstützung bisher, um das wieder in Ordnung zu bringen.

    Edit: wegen erkennen: Ist das zeitaufwendig mit dem Archiv Scannen? Falls das schnell gehen sollte, könnte man da eben ab und zu mal prüfen... Ab und zu heißt, wenn ca. alle 2 Wochen gescannt wird, ist das schon um einiges sicherer als jetzt 1 Mal in 2 Jahren aus gegebenen Anlass. Sollte jetzt auch kein tagtägliches Problem sein, dass jemand absichtlich oder aus Unachtsamkeit vireninfizierte Spiele hochlädt.


    Peperoni edited at vor 3 Wochen
  • Alle infizierten Dateien wurden jetzt durch cleane ersetzt.

    Im Anschluss nochmal überprüft, ob die Dateien auch wirklich ersetzt wurden. Die Slots, die nicht erfolgreich überschrieben werden konnten, wurden geschlossen und entsprechend neue angelegt. (Betraf 6 von 17 Slots)


    Peperoni edited at vor 3 Wochen
  • oh, das ging ja fix. Mal hoffen das Microsoft das auch demnächst merkt, damit die Smartscreen Fehelrmeldungen im Edge browser weggehen :/.

    Räume dann auch noch mein Backup auf, dann ist alles wieder topp :).


    Ghabry
  • Ich könnte mir allerdings vorstellen, dass der Smartscreen bei den 6 geschlossenen Slots Alarm schlägt, weil dort ja eigentlich noch immer infizierte Dateien liegen, nur eben nicht mehr downloadbar sind.


    Peperoni
  • Smartscreen schlägt halt bei jedem Klick alarm, egal wo auf der Seite, ist megalästig. Verschreckt neue Nutzer.

    Ist das zeitaufwendig mit dem Archiv Scannen? Falls das schnell gehen sollte, könnte man da eben ab und zu mal prüfen... Ab und zu heißt, wenn ca. alle 2 Wochen gescannt wird, ist das schon um einiges sicherer als jetzt 1 Mal in 2 Jahren aus gegebenen Anlass

    Also mein komplett-scan dauerte 3h, das lag aber hauptsächlich daran, dass ich das Backup auf einem extrem langsamen Netzlaufwerk liegen habe (was für wenig Geld Haufen Backupspeicher zur Verfügung stellt) und jede Datei vorm prüfen übertragen werden muss. Denk mal das würde sonst in Minuten gehen. Außerdem kann man auch nur die neuen Dateien prüfen, dann ists ne Sache von Sekunden.


    Ghabry
Login is needed to post a message
Login is needed to post a message